גם לכם קפצה הודעה שמציעה מתנה בחינם מפרטנר או בזק? כך פעלו התוקפים

בימים האחרונים נתקלו לא מעט גולשים ישראלים בהודעות זכייה במתנה – שהופיעו לכאורה מטעם ספק האינטרנט שלהם. חקירה של מומחי אבטחה ישראליים חשפה את השיטה המתוחכמת

בימים האחרונים הופיעו ברשת לא מעט דיווחים על גולשים, שנתקלים בהודעות “מטעם” ספקיות התקשורת שלהם, ומציעות להם מתנות שונות ומשונות. חקירה אפידמיולוגית שערכו מספר חוקרי אבטחה לניסיון המתקפה הזה מעלה כמה ממצאים מעניינים על דרך התקיפה והכלים השונים שבהם נעשה שימוש.

טירגוט על פי IP

גולשים שביקרו בימים האחרונים באתרים שונים – בעיקר אתרים זרים – נתקלו בהודעה שמציעה להם מתנה מטעם ספקית האינטרנט שלהם לרגל חגיגות שקר כלשהו – תמורת מילוי מספר פרטים. הייחוד בהודעה הזו הוא שהיא הותאמה אישית לכל גולש על פי הספקית בפועל שלו, כך שמנוי על בזק בינלאומי קיבל הודעה לכאורה מבזק בינלאומי, מנוי סלקום קיבל הודעה לכאורה מסלקום וכך הלאה. לצורך כך השתמשו התוקפים ב-IP של כל גולש, כשנוסח ההודעה, כולל הלוגו שמוצג בראשה – עברו התאמה. מה שעשוי להפיל משתמשים נוספים בפח.

בשיחה עם גיקטיים חשפו חוקרי אבטחת המידע הישראליים תום מלכה, סהר אביטן ומאור דיין מקבוצת הטלגרם CyberSpace ISR כי התוקפים עשו שימוש בשרת פרסומות לגיטימי עליו הצליחו להשתלט ולהזריק קוד JS זדוני. מהחקירה שביצעו השלושה עולה כי בזמן טעינת הפרסומות באתרים הלגיטימיים, הוטענו קבצים זדוניים משרתי התקיפה. אותם שרתים העבירו בין אחד לשני בקשות POST ו-GET להעברה (redirect) לאחד מאתרי התוקפים – בלי ידיעת הגולש כמובן. אם אתם סקרנים, החוקרים העלו את קוד ה-JS של הדף לכאן.

נראה שהמזל הגדול הוא שהתוקפים הסתפקו כאן בניסיון פישינג ולא יותר. אולם באותה מידה הם היו יכולים גם לגרום להורדה אוטומטית של קובץ EXE או APK למכשיר של הקורבן, ולגרום לו ללחוץ עליו בתואנות שונות, מה שעשוי היה לגרום לנזק נרחב הרבה יותר. גורם נוסף שתרם לכך שלא נגרמו יותר מדי נזקים לגולשים ישראליים הוא העובדה שההודעה נוסחה באנגלית, מה שפגע קשות באמינות ההודעה.

בין האתרים שהציגו פרסומות נגועות ניתן למנות אתרים דוגמת thingiverse, W3school ו-geeksforgeeks – בחירה מפתיעה משום שמדובר באתרים פופולריים בעיקר בקרב מפתחים, מייקרים ואנשי מקצוע, שלכאורה אמורים להיות מודעים וזהירים יותר. עם זאת, דיין טוען שלא מן הנמנע שהתוקפים בכוונה טירגטו אנשי פיתוח, כדי לתקוף אולי בעתיד חברות גדולות שמעסיקות אותם.

אבל מפתחים ומתכנתים שנכנסים לאתרים האלו אמורים להיות מודעים יותר לא?

“בקטע הזה אין מודעים או לא, זה קורה אוטומטית, אין סימן המתריע על כך. רק אם באמת ישבו ויבחנו את האתר יגלו את זה”.

מלכה, דיין ואביטן דיווחו על המקרה לאנשי האבטחה בבזק, פרטנר, סלקום ומטה הסייבר, שאף הוציא אזהרה – עקב הטירגוט של ישראלים.

אז מה אפשר לעשות?

עד אשר תיסגר הפרצה, נראה שאין ברירה אלא להשתמש בחוסם פרסומות באתרים הבעייתיים (רק תעשו לגיקטיים Whitelist כן?). לדברי מלכה, הכי חשוב שהאנשים יפנימו ש”אין מתנות חינם ברשת”.

כל העדכונים מחכים לכם בערוץ הטלגרם של גיקטיים כל העדכונים מחכים לכם בערוץ הטלגרם של גיקטיים להצטרפות לערוץ הטלגרם שלנו לחץ כאן

 

 

יניב אביטל

עורך אתר גיקטיים. יש לכם רעיון לכתבה? טיפ סודי? הדלפה? מחכה לכם ב-yaneev@geektime.co.il

הגב

23 תגובות על "גם לכם קפצה הודעה שמציעה מתנה בחינם מפרטנר או בזק? כך פעלו התוקפים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
Amit
Guest

אתמול ראיתי הודעה כזאת מסלקום, כשאני בכלל בבזק. לא היה לי כל ספק שזה סקאם.

עדן
Guest

תותחים! אחלה כתבה ואחלה מחקר. כיף לראות מחקר דווקא על הדברים האלו.

NatiMedia
Guest

חח איזה שבורים מה אתם מרימים לעצמכם על קוד JS .. ליצני סייבר

אליה
Guest

עוד פעם ספייסי?
סה”כ קוד JS זדוני, לא עשית שום דבר פה.

NatiMedia
Guest

חופשי, טוב שלא עשה מחקר על פישינג לפייסבוק

Avv
Guest

עשרות אלפי ביטקוין נגנבו מאנשים שהקליקו על פרסומות מתחזות של ארנקים או בורסות בחיפוש של גוגל, פשוט מהסיבה שלא השתמשו בחוסם פרסומות.

מאור דיין
Guest

רק שכאן ה-Redirect (העברה) לאתרי התוקפים זה ללא אישור מהגולש וקורה באופן אוטומטי בעת טעינת האתר והפרסומות.

NatiMedia
Guest

פשש, איזה תחכום לא נורמלי.. פעם הבאה שיעשו מחקר על חולשות HTTP אם הם כבר בקלאסיקות

אדיר
Guest

כל הכבוד לסהר אביטן, תום מלכה ומאור דיין !
ראיתי את הכתבה ב”הארץ” וגם פה ! באמת שאפו

NatiMedia
Guest

טוב שציינת את השמות, בטח אתה לא אחד מהם אה? ליצני סייבר

לירן
Guest

תודה על כתבה מעניינת

אורח מזדמן
Guest

באמת תהיתי מה לעזאזל קורה.. תודה רבה על המידע!!

קיבלתי
Guest

אני קיבלתי את זה חשבתי שפרצו לW3school

מישנהו
Guest

אותם “האקרים” מדופלמים שנותנים עצות למפתחים, אתם כתבתם מערכת כלשהי בחייכם או שאתם רק מורידים ומריצים קוד מגיטהאב שאחרים כתבו? בתור מה בדיוק אתם נותנים עצות?

NatiMedia
Guest

חחח אל תתקיל אותם אחי הם מומחי סייברררררררר

בייגל
Guest

זה קרה לי באתר ebay.
חשבתי לעצמי מה לעלאזל הם עושים לעצמם?!

NatiMedia
Guest

תשנו ניסוח לפחות מרימים לעצמכם בכוח אה יא ליצני סייבר

בייגל
Guest

הקנאה אוכלת אותך, אה…

בצל עשיר
Guest

“הכי חשוב שהאנשים יפנימו ש”אין מתנות חינם ברשת”???
תגידו את זה לנסיך הניגרי שהעביר לי 5 מליון יורו כי הוא לא יכול לפדות את הירושה שלו…
אני מקבל נתח של 25% מהסכום. לא יודע מה לקנות קודם. אני מתרגש :)

NatiMedia
Guest

זה מחקר זה? חארטה בפיתה.. מה אין לכם מה לפרסם? קוד JS זה מתוחכם?
ליצנים

נימרוד
Guest

הם הצליחו לפרוץ לי גם לטלפון וגם למחשב תזהרו מהאתר הזה בינתיים! נכנסתי דרך הטלפון ואחרי כמה דקות הוא היה רותח ככה שבקושי יכולתי לגעת בו אחרי כמה דקות ומאחר והמחשב היה מחובר לטלפון שלי דרך “נתב אלחוטי” ה-CPU שלו התחיל לעבוד כמו משוגע וגם הוא התחיל להתחמם. הייתי צריך לפרמט את שניהם. בקיצור תיזהרו!

רפאל
Guest

אין מתנות ברשת! אין מתנות ברשת!
היה לי כזו פרסומת, עם סקר על גוגל כרום, וזכייה כמובן… (סמארטפון ב5 דולר בלבד) כאשר כתוב שם שכל יום ראשון רק 10 משתמשים מקבלים את הסקר הזה, ואז אחרי שבוע ביום שישי, אותו דבר באתר אחר, רק שכתוב שזה רק בכל יום שישי, ריעננתי את הדף 20 פעם וזה חזר שוב אפי’ שכתוב שבוחרים רק 10 משתמשים בכל יום,
אין מתנות ברשת! אין מתנות מרשת!
אתה רוצה מתנה כנס לקישור הזה (בצחוק):
https://www.google.com/search?q=%D7%93%D7%99%D7%95%D7%92&tbm=isch&ved=2ahUKEwjyoeHrgqjpAhUDABQKHcePCHMQ2-cCegQIABAA&oq=%D7%93%D7%99%D7%95%D7%92&gs_lcp=CgNpbWcQAzICCAAyAggAMgIIADICCAAyBAgAEBgyBAgAEBgyBAgAEBgyBAgAEBgyBAgAEBgyBggAEAoQGDoFCAAQgwFQmvgBWI3-AWChgQJoAHAAeAGAAZUFiAGYDZIBCzAuMS4wLjEuMC4ymAEAoAEBqgELZ3dzLXdpei1pbWc&sclient=img&ei=dki3XvKON4OAUMefopgH&bih=722&biw=1536

מיכל
Guest

היי אם נפלתי בפח ונתתי את הכרטיס שלי מה מומלץ לי לעשות? לבטל דחוף ?

wpDiscuz

תגיות לכתבה: